Teams, piattaforma per videoconferenze di Microsoft, è uno dei sistemi più utilizzati per la gestione del lavoro da remoto e delle riunioni a distanza, con funzionalità anche relative a chat, archiviazione file e integrazione delle applicazioni. Il numero degli utenti e delle sessioni di utilizzo, anche a causa dell’emergenza sanitaria da Covid-19 e della conseguente diffusione dello smart working, è cresciuto moltissimo negli ultimi mesi,
Tra le funzioni affidate all’applicativo, ad esempio, c’è la fondamentale partecipazione alle udienze, seppur da remoto, soluzione prevista per non interrompere il servizio essenziale di amministrazione della giustizia e tutela dei diritti, pur operando in sicurezza.
Nelle ultime, tuttavia, ore è emersa una grave vulnerabilità di Teams, portata alla luce dai ricercatori di CyberArk, secondo i quali sarebbe stato sufficiente un link o una GIF per rubare gli account attivi all’interno di un’organizzazione, di un “team”.
La vulnerabilità è stata risolta da Microsoft che invita, dunque, ad installare le relative patch di sicurezza appena disponibili.
La vulnerabilità di Microsoft Teams
All’apertura di Teams, il client crea un nuovo access token temporaneo json (“authtoken”) per mezzo di un server di autenticazione Microsoft (login.microsoftonline.com).
Poiché le immagini condivise all’interno di un gruppo vengono salvate sui server, per inviarle o visualizzarle è necessario passare attraverso il processo di autorizzazione, usando un cookie denominato “Skype Token” o “skypetoken_asm”.
Nell’analisi effettuata da CyberArk, sono emersi due sottodomini non sicuri:
“aadsync-test.teams.microsoft.com” e “data-dev.teams.microsoft.com”.
All’attaccante era, dunque, possibile invitare la vittima, con un link o una GIF, a visitare questi sottodomini, ricevendo il token di autenticazione e potendo così creare il cookie token Skype.
In tal modo, era possibile rubare i dati dell’account della vittima: non era, infatti, necessario che questa a sua volta condividesse il link o la GIF, essendo sufficiente che la visualizzasse.
Al questo link il PoC e ulteriori dettagli pubblicati dai ricercatori di CyberArk.